Compartir a través de


Operaciones de seguridad para infraestructura

La infraestructura tiene muchos componentes donde pueden producirse vulnerabilidades si no están configurados correctamente. Como parte de la estrategia de supervisión y alertas para la infraestructura, supervise y alerte los eventos en las áreas siguientes:

  • Autenticación y autorización

  • Componentes de autenticación híbrida, incluidos los Servidores de federación

  • Directivas

  • Suscripciones

La supervisión y la alerta de los componentes de la infraestructura de autenticación son fundamentales. Cualquier riesgo individual puede dar lugar a un riesgo total del entorno en su conjunto. Muchas empresas que usan Microsoft Entra ID funcionan en un entorno de autenticación híbrida. Los componentes locales y de la nube deben incluirse en su estrategia de supervisión y alerta. Tener un entorno de autenticación híbrida también introduce otro vector de ataque al entorno.

Se recomienda que todos los componentes se consideren recursos del plano de control o nivel 0, así como las cuentas que se usan para administrarlos. Consulte Protección de recursos con privilegios para obtener instrucciones sobre cómo diseñar e implementar el entorno. Esta guía incluye recomendaciones para cada uno de los componentes de autenticación híbrida que podrían usarse para un inquilino de Microsoft Entra.

Un primer paso para poder detectar eventos inesperados y posibles ataques consiste en establecer una base de referencia. Para todos los componentes locales que se enumeran en este artículo, consulte Implementación de acceso con privilegios, que forma parte de la guía de Protección de recursos con privilegios.

Dónde mirar

Los archivos de registro que usa para la investigación y supervisión son:

En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra ID con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:

  • Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de Administración de eventos e información de seguridad (SIEM).

  • Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, es la comunidad mundial de seguridad de TI que crea y recopila el repositorio y las plantillas.

  • Azure Monitor: permite la supervisión y la generación de alertas automatizadas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.

  • Azure Event Hubs integrado con SIEM: los registros de Microsoft Entra se pueden integrar con otras SIEM como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.

  • Microsoft Defender for Cloud Apps: permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.

  • Protección de identidades de carga de trabajo con Protección de id. de Microsoft Entra: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

En el resto de este artículo se explica lo que supervisar y sobre qué alertar. Está organizado por tipo de amenaza. Si hay soluciones creadas previamente específicas, encontrará vínculos a ellas después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.

Infraestructura de autenticación

En entornos híbridos que contienen recursos y cuentas tanto locales como basados en la nube, la infraestructura de Active Directory es una parte clave de la pila de autenticación. La pila también es objetivo de ataques, por lo que debe configurarse para mantener un entorno seguro y debe supervisarse correctamente. Los ejemplos de tipos de ataque actuales que se usan en la infraestructura de autenticación emplean técnicas de Difusión de contraseña y Solorigate. A continuación se incluyen vínculos a artículos recomendados:

A continuación se incluyen vínculos a artículos específicos que se centran en la supervisión y las alertas de la infraestructura de autenticación:

A continuación, encontrará aspectos específicos que debe buscar:

Elementos para supervisar Nivel de riesgo Dónde Notas
Tendencias de bloqueo de extranet Alto Microsoft Entra Connect Health Use la información de Supervisión de AD FS mediante Microsoft Entra Connect Health para conocer herramientas y técnicas que ayudan a detectar tendencias de bloqueo de extranet.
Inicios de sesión con error Alto Portal de Connect Health Exporte o descargue el informe de IP de riesgo y siga las instrucciones de Informe de direcciones IP de riesgo (versión preliminar pública) para conocer los pasos siguientes.
Cumple con los requisitos de privacidad Bajo Microsoft Entra Connect Health Configure Microsoft Entra Conectar Health para deshabilitar las colecciones de datos y la supervisión según el artículo Privacidad del usuario y Microsoft Entra Connect Health.
Posible ataque por fuerza bruta en LDAP Medio Microsoft Defender for Identity Use el sensor para ayudar a detectar posibles ataques por fuerza bruta contra LDAP.
Reconocimiento de enumeración de cuentas Medio Microsoft Defender for Identity Use el sensor para ayudar a realizar el reconocimiento de enumeración de cuentas.
Correlación general entre Microsoft Entra ID y Azure AD FS Medio Microsoft Defender for Identity Use funcionalidades para correlacionar las actividades entre los entornos de Microsoft Entra ID y Azure AD FS.

Supervisión de la autenticación transferida

Con la autenticación de tránsito de Microsoft Entra, los usuarios inician sesión mediante la validación de sus contraseñas directamente en la instancia de Active Directory local.

A continuación, encontrará aspectos específicos que debe buscar:

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Errores de autenticación de tránsito de Microsoft Entra Medio Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80001: No es posible conectarse a Active Directory. Asegúrese de que los servidores del agente sean miembros del mismo bosque de AD que los usuarios cuyas contraseñas haya que validar y que pueden conectarse a Active Directory.
Errores de autenticación de tránsito de Microsoft Entra Medio Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS8002: Se ha agotado el tiempo de espera al conectarse a Active Directory. Asegúrese de que Active Directory está disponible y responde a las solicitudes de los agentes.
Errores de autenticación de tránsito de Microsoft Entra Medio Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80004: El nombre de usuario transferido al agente no era válido. Asegúrese de que el usuario esté intentando iniciar sesión con el nombre de usuario correcto.
Errores de autenticación de tránsito de Microsoft Entra Medio Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80005: La validación encontró una excepción WebException impredecible. Un error transitorio. Vuelva a intentarlo. Si el error no desaparece, póngase en contacto con el soporte técnico de Microsoft.
Errores de autenticación de tránsito de Microsoft Entra Medio Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80007: Error al establecer comunicación con Active Directory. Compruebe los registros del agente para más información y verifique que Active Directory está funcionando según lo previsto.
Errores de autenticación de tránsito de Microsoft Entra Alto API de la función LogonUserA de Win32 Eventos de inicio de sesión 4624(s): una cuenta ha iniciado sesión correctamente
—correlacionar con—
4625(F): No se pudo iniciar sesión en una cuenta.
Use con los nombres de usuario sospechosos en el controlador de dominio que autentica las solicitudes. Instrucciones en Función LogonUserA (winbase.h)
Errores de autenticación de tránsito de Microsoft Entra Medio Script de PowerShell del controlador de dominio Vea la consulta después de la tabla. Use la información de Microsoft Entra Connect: solución de problemas de autenticación de tránsito para obtener instrucciones.

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>

</Query>

</QueryList>

Supervisión para la creación de nuevos inquilinos de Microsoft Entra

Es posible que las organizaciones necesiten supervisar y alertar sobre la creación de nuevos inquilinos de Microsoft Entra cuando las identidades de su inquilino organizativo inician la acción. La supervisión de este escenario proporciona visibilidad sobre cuántos inquilinos se crean y los usuarios finales pueden acceder a ellos.

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Creación de un nuevo inquilino de Microsoft Entra mediante una identidad del inquilino. Medio Registros de auditoría de Microsoft Entra Categoría: administración de directorios

Actividad: crear empresa
Los destinos muestran el TenantID creado

Conector de red privada

Microsoft Entra ID y Microsoft Entra Application Proxy ofrecen a los usuarios remotos una experiencia de inicio de sesión único (SSO). Los usuarios se conectan de forma segura a las aplicaciones locales sin una red privada virtual (VPN) ni servidores de doble conexión ni reglas de firewall. Si el servidor del conector de red privada de Microsoft Entra está en peligro, los atacantes podrían modificar la experiencia de inicio de sesión único (SSO) o cambiar el acceso a las aplicaciones publicadas.

Para configurar la supervisión de Application Proxy, consulte Solución de problemas y mensajes de error de Application Proxy. El archivo de datos que registra información se puede encontrar en Registros de aplicaciones y servicios\Microsoft\Red privada de Microsoft Entra\Conector\Administrador. Para obtener una guía de referencia completa sobre la actividad de auditoría, consulte referencia de actividad de auditoría de Microsoft Entra. Aspectos específicos que supervisar:

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Errores de Kerberos Medio Varias herramientas Medio Guía de errores de autenticación Kerberos en Errores de Kerberos en Solución de problemas y mensajes de error de Application Proxy.
Problemas de seguridad de DC Alto Registros de auditoría de seguridad de DC Id. de evento 4742(S): Se cambió una cuenta de equipo
-y-
Marca: de confianza para delegación
-o-
Marca: de confianza para autenticarse para delegación
Investigue todo cambio de marca.
Ataques similares a pass-the-ticket Alto Siga las instrucciones en:
Reconocimiento de entidad de seguridad (LDAP) (identificador externo 2038)
Tutorial: Alertas de credenciales en peligro
Comprensión y uso de las rutas de desplazamiento lateral con Microsoft Defender for Identity
Reconocimiento de los perfiles de entidades

Configuración de la autenticación heredada

Para que la autenticación multifactor (MFA) sea efectiva, también es necesario bloquear la autenticación heredada. Luego tiene que supervisar el entorno y alertar sobre cualquier uso de la autenticación heredada. Los protocolos de autenticación heredados, como POP, SMTP, IMAP y MAPI, no pueden aplicar MFA. Esto convierte estos protocolos en los puntos de entrada preferidos de los atacantes. Para más información sobre las herramientas que puede usar para bloquear la autenticación heredada, consulte Nuevas herramientas para bloquear la autenticación heredada en su organización.

La autenticación heredada se captura en el registro de inicio de sesión de Microsoft Entra como parte de los detalles del evento. Puede usar el libro de Azure Monitor para ayudar a detectar el uso de la autenticación heredada. Para obtener más información, consulte inicios de sesión mediante la autenticación heredada, que forma parte de Cómo usar los libros de Azure Monitor para informes de Microsoft Entra. También puede usar el libro Protocolos no seguros para Microsoft Sentinel. Para obtener más información, vea Guía de implementación del libro de protocolos no seguros de Microsoft Sentinel. Entre las actividades específicas que se deben supervisar se incluyen:

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Autenticaciones heredadas Alto Registro de inicios de sesión de Microsoft Entra ClientApp: POP
ClientApp: IMAP
ClientApp: MAPI
ClientApp: SMTP
ClientApp: ActiveSync en EXO
Otros clientes = SharePoint y EWS
En entornos de dominio federados, las autenticaciones con errores no se registran, por lo que no aparecerán en el registro.

Microsoft Entra Connect

Microsoft Entra Connect proporciona una ubicación centralizada que habilita la sincronización de cuentas y atributos entre su entorno Microsoft Entra local y basado en la nube. Microsoft Entra Connect es la herramienta de Microsoft diseñada para satisfacer y lograr sus objetivos de identidad híbrida. Ofrece las siguientes características:

  • Sincronización de hash de contraseña: un método de inicio de sesión que sincroniza el hash de la contraseña de un usuario de AD local con Microsoft Entra ID.

  • Sincronización: responsable de la creación de usuarios, grupos y otros objetos. A continuación, debe asegurarse de que la información de identidad de los usuarios y los grupos de su entorno local coincide con la de la nube. Esta sincronización también incluye los códigos hash de contraseña.

  • Seguimiento de estado: Microsoft Entra Connect Health puede proporcionar una sólida supervisión y una ubicación central en Azure Portal donde se puede ver esta actividad.

La sincronización de la identidad entre el entorno local y el entorno en la nube presenta una nueva superficie de ataque para el entorno local y el basado en la nube. Es recomendable que:

  • Los servidores de Microsoft Entra Connect principal y de almacenamiento provisional se tratan como sistemas de nivel 0 en el plano de control.

  • Siga un conjunto estándar de directivas que rigen cada tipo de cuenta y su uso en su entorno.

  • Instale Microsoft Entra Connect y Connect Health. Ofrecen principalmente datos operativos para el entorno.

El registro de las operaciones de Microsoft Entra Connect se produce de maneras diferentes:

  • El asistente de Microsoft Entra Connect registra los datos en \ProgramData\AADConnect. Cada vez que se invoca al asistente, se crea un archivo de registro de seguimiento con marca de tiempo. El registro de seguimiento se puede importar en Sentinel u otras herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para su análisis.

  • Algunas operaciones inician un script de PowerShell para capturar información de registro. Para recopilar estos datos, debe asegurarse de que el registro de bloques de script esté habilitado.

Cambios en la configuración de supervisión

Microsoft Entra ID usa Microsoft SQL Server Data Engine o SQL para almacenar información de configuración de Microsoft Entra Connect. Por lo tanto, la supervisión y la auditoría de los archivos de registro asociados a la configuración deben incluirse en la estrategia de supervisión y auditoría. En concreto, incluya las siguientes tablas en la estrategia de supervisión y alertas.

Elementos para supervisar Dónde Notas
mms_management_agent Registros de auditoría del servicio SQL Consulte Registros de auditoría de SQL Server
mms_partition Registros de auditoría del servicio SQL Consulte Registros de auditoría de SQL Server
mms_run_profile Registros de auditoría del servicio SQL Consulte Registros de auditoría de SQL Server
mms_server_configuration Registros de auditoría del servicio SQL Consulte Registros de auditoría de SQL Server
mms_synchronization_rule Registros de auditoría del servicio SQL Consulte Registros de auditoría de SQL Server

Para obtener información sobre qué y cómo supervisar la información de configuración, consulte:

Supervisión y solución de problemas de sincronización

Una función de Microsoft Entra Connect es sincronizar la sincronización de hash entre la contraseña local de un usuario y Microsoft Entra ID. Si las contraseñas no se sincronizan según lo esperado, la sincronización puede afectar a la totalidad o parte de los usuarios. Use lo siguiente para ayudar a comprobar el funcionamiento correcto o para solucionar problemas:

Recursos importantes para la supervisión

Elementos para supervisar Recursos
Validación de la sincronización de hash Consulte Solución de problemas de sincronización de hash de contraseña con la sincronización de Microsoft Entra Connect.
Modificaciones en los espacios del conector Consulte Solución de problemas de objetos y atributos de Microsoft Entra Connect.
Modificaciones en las reglas que configuró Supervisar los cambios en: filtrado, dominio y unidad organizativa, atributo y cambios basados en grupos
Cambios de SQL y MSDE Cambios en los parámetros de registro y adición de funciones personalizadas.

Supervise lo siguiente:

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Cambios de Scheduler Alto PowerShell Set-ADSyncScheduler Buscar modificaciones en la programación
Cambios en las tareas programadas Alto Registros de auditoría de Microsoft Entra Actividad = 4699(S): se eliminó una tarea programada
-o-
Actividad = 4701(s): se deshabilitó una tarea programada
-o-
Actividad = 4702(s): se actualizó una tarea programada
Supervisar todo

Supervisión del inicio de sesión único de conexión directa

El inicio de sesión único de conexión directa (SSO de conexión directa) de Microsoft Entra permite iniciar sesión automáticamente a los usuarios en equipos de escritorio corporativos conectados a la red de la empresa. El inicio de sesión único de conexión directa proporciona a los usuarios un acceso sencillo a las aplicaciones basadas en la nube sin necesidad de usar otros componentes locales. El inicio de sesión único usa las funcionalidades de autenticación de tránsito y sincronización de hash de contraseña proporcionadas por Microsoft Entra Connect.

La supervisión de la actividad de inicio de sesión único y de Kerberos puede ayudarle a detectar patrones generales de ataque de robo de credenciales. Use la siguiente información para la supervisión:

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Errores asociados a errores de validación de inicio de sesión único y Kerberos Medio Registro de inicios de sesión de Microsoft Entra Lista de códigos de error de inicio de sesión único en Inicio de sesión único.
Consulta sobre solución de problemas Medio PowerShell Consulte Query en la tabla siguiente. Compruebe cada bosque con inicio de sesión único habilitado. Compruebe cada bosque con inicio de sesión único habilitado.
Eventos relacionados con Kerberos Alto Supervisión de Microsoft Defender for Identity Revise la guía disponible en Rutas de desplazamiento lateral (LMP) de Microsoft Defender for Identity.
<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>

</Query>

</QueryList>

Directivas de protección con contraseña

Si implementa Protección con contraseña de Microsoft Entra, la supervisión y la notificación son tareas fundamentales. En los vínculos siguientes se ofrece información detallada para ayudarle a conocer las distintas técnicas de supervisión, además de explicar dónde registra cada servicio la información y cómo envía notificaciones sobre el uso de la protección con contraseña de Microsoft Entra.

Los servicios del agente de controlador de dominio (DC) y de proxy registran mensajes en el registro de eventos. Todos los cmdlets de PowerShell que se describe a continuación solo están disponibles en el servidor proxy (consulte el módulo de PowerShell AzureADPasswordProtection). El software del agente de controlador de dominio no instala ningún módulo de PowerShell.

Puede encontrar información detallada para planear e implementar la protección con contraseña local en Planeación e implementación de la protección con contraseña de Microsoft Entra local. Para detalles de supervisión, consulte Supervisión de protección con contraseña de Microsoft Entra local. En cada controlador de dominio, el software del servicio del agente de DC escribe los resultados de cada operación de validación de contraseña individual (y otros estados) en el registro de eventos local siguiente:

  • \Registros de aplicaciones y servicios\Microsoft\AzureADPasswordProtection\DCAgent\Admin

  • \Registros de aplicaciones y servicios\Microsoft\AzureADPasswordProtection\DCAgent\Operational

  • \Registros de aplicaciones y servicios\Microsoft\AzureADPasswordProtection\DCAgent\Trace

El registro de administración del agente de controlador de dominio es la principal fuente de información de cómo se comporta el software. De manera predeterminada, el registro de seguimiento está desactivado y debe habilitarse antes de que se registren los datos. Para solucionar los problemas de proxy de aplicación y los mensajes de error, puede encontrar información detallada en Solución de problemas del proxy de aplicación de Microsoft Entra. La información de estos eventos se registra en:

  • Registros de aplicaciones y servicios\Microsoft\Red privada de Microsoft Entra\Conector\Administrador

  • Registro de auditoría de Microsoft Entra, categoría Application Proxy

La referencia completa para las actividades de auditoría de Microsoft Entra está disponible en Referencia sobre actividades de auditoría Microsoft Entra.

Acceso condicional

En Microsoft Entra ID, el acceso a los recursos se puede proteger mediante la configuración de directivas de acceso condicional. Como administrador de TI, quiere tener la certeza de que las directivas de acceso condicional funcionan según lo previsto para garantizar que los recursos están protegidos correctamente. La supervisión y las alertas sobre los cambios en el servicio de acceso condicional garantiza que las directivas definidas por la organización para el acceso a los datos se aplican correctamente. Microsoft Entra se registra cuando se realizan cambios en el acceso condicional y también proporciona libros para asegurarse de que las directivas proporcionan la cobertura esperada.

Vínculos de libro

Supervise los cambios en las directivas de acceso condicional mediante la siguiente información:

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Nueva directiva de acceso condicional creada por actores no aprobados Medio Registros de auditoría de Microsoft Entra Actividad: Agregar una directiva de acceso condicional

Categoría: Directiva

Iniciado por (actor) = Nombre principal de usuario
Supervisar y alertar sobre los cambios de acceso condicional. Está iniciado por (actor): ¿está aprobado para realizar cambios en el acceso condicional?
Plantilla de Microsoft Sentinel

Reglas sigma
Directiva de acceso condicional eliminada por actores no aprobados Medio Registros de auditoría de Microsoft Entra Actividad: Eliminar una directiva de acceso condicional

Categoría: Directiva

Iniciado por (actor) = Nombre principal de usuario
Supervisar y alertar sobre los cambios de acceso condicional. Está iniciado por (actor): ¿está aprobado para realizar cambios en el acceso condicional?
Plantilla de Microsoft Sentinel

Reglas sigma
Directiva de acceso condicional actualizada por actores no aprobados Medio Registros de auditoría de Microsoft Entra Actividad: Actualizar una directiva de acceso condicional

Categoría: Directiva

Iniciado por (actor) = Nombre principal de usuario
Supervisar y alertar sobre los cambios de acceso condicional. Está iniciado por (actor): ¿está aprobado para realizar cambios en el acceso condicional?

Revise las propiedades modificadas y compare el valor "old" frente a "new"
Plantilla de Microsoft Sentinel

Reglas sigma
Eliminación de un usuario de un grupo usado para definir el ámbito de las directivas de acceso condicional críticas Medio Registros de auditoría de Microsoft Entra Actividad: Quitar miembro de grupo

Categoría: GroupManagement

Destino: Nombre principal de usuario
Monitor and Alert para grupos se usa para definir el ámbito de las directivas de acceso condicional críticas.

"Destino" es el usuario que se ha quitado.

Reglas sigma
La adición de un usuario a un grupo usado para definir el ámbito de las directivas de acceso condicional críticas Bajo Registros de auditoría de Microsoft Entra Actividad: Agregar miembro a grupo

Categoría: GroupManagement

Destino: Nombre principal de usuario
Monitor and Alert para grupos se usa para definir el ámbito de las directivas de acceso condicional críticas.

"Destino" es el usuario que se ha agregado.

Reglas sigma

Pasos siguientes

Introducción a las operaciones de seguridad de Microsoft Entra

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas de consumidor

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para Privileged Identity Management

Operaciones de seguridad para aplicaciones

Operaciones de seguridad para dispositivos